Auftragsverarbeitungsvertrag (AVV)
(im Sinne von Art. 28 DSGVO zwischen dem Kunden als Verantwortlichem und Voico als Auftragsverarbeiter)
1. Anwendungsbereich und Rollenverteilung
1.1 Beziehung der Parteien: Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien bei Verarbeitung personenbezogener Daten im Auftrag. Er findet Anwendung auf alle Verarbeitungen, bei denen Voico personenbezogene Daten im Auftrag des Kunden (als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO) verarbeitet. Das ist insbesondere der Fall für alle Endkundendaten, Gesprächsinhalte, Verkehrs- und Inhaltsdaten, die bei Nutzung der Voico-Dienste durch den Kunden anfallen (siehe Datenschutzerklärung Plattform). Voico handelt insoweit als Auftragsverarbeiter gemäß Art. 4 Nr. 8, Art. 28 DSGVO.
1.2 Geltung der Hauptvereinbarung: Die Bestimmungen dieses AVV gehen im Zweifel den Regelungen des Hauptvertrags (AGB/Nutzungsvertrag) vor, soweit es um Datenschutzverarbeitungen geht. Im Übrigen bleiben die Hauptvertragsregelungen unberührt.
1.3 Weisungsgebundenheit: Voico verarbeitet die personenbezogenen Daten ausschließlich im Rahmen der schriftlich dokumentierten Weisungen des Kunden (im Vertrag, diesem AVV und etwaigen nachträglichen Anweisungen festgelegt). Der Kunde bestätigt hiermit, dass er befugt ist, Voico mit der Verarbeitung zu beauftragen und die erforderlichen Rechtsgrundlagen hierfür vorliegen.
2. Gegenstand und Dauer der Verarbeitung
2.1 Gegenstand: Der Gegenstand der Auftragsverarbeitung ergibt sich aus dem Hauptvertrag. Wesentlich ist die Bereitstellung einer KI-Voicebot-Plattform, inkl. Telefonie-Integration, worüber der Kunde Daten seiner Anrufer/Kunden verarbeiten lässt.
2.2 Dauer: Dieser AVV gilt für die Dauer des Hauptvertrags über die Nutzung der Voico-Dienste. Er endet automatisch mit Beendigung des Nutzungsvertrags, soweit nicht gesetzliche Nachwirkungspflichten bestehen.
3. Art und Zweck der Verarbeitung
3.1 Art der Verarbeitung: Erheben, Speichern, Auslesen, Verwenden, Auswerten (via KI-Analyse), Übermitteln und Löschen von Daten – jeweils automatisiert in IT-Systemen. Auch die Übermittlung an vom Kunden bestimmte Empfänger (z. B. per Integration) kann dazugehören.
3.2 Zweck: Die Verarbeitung erfolgt ausschließlich, um dem Kunden die Nutzung der Voico-Dienste zu ermöglichen, insbesondere um Telefonanrufe automatisiert entgegenzunehmen und zu bearbeiten, Dialoge mittels KI zu führen, sowie um entsprechende Verbindungsdaten dem Kunden bereitzustellen. Eine Verarbeitung zu anderen Zwecken findet nicht statt. Voico wird Daten nicht für eigene Zwecke verarbeiten, insbesondere keine Profile zu eigenen Zwecken erstellen oder Daten an Dritte verkaufen.
4. Art der personenbezogenen Daten und Kategorien betroffener Personen
4.1 Datenarten: Folgende Kategorien personenbezogener Daten können im Rahmen der Auftragsverarbeitung umfasst sein (je nach Nutzung durch den Kunden): Stammdaten der Endkunden/Anrufer (z. B. Name, Telefonnummer, Kundennummer, Vertrags- oder Kontoinformationen), Kommunikationsdaten (Inhalt der Telefongespräche und daraus abgeleitete Text-Transkriptionen; Anliegen und vom Anrufer mitgeteilte Informationen, ggf. auch sensible Daten, falls solche im Gespräch geäußert werden), Verkehrsdaten (Rufnummer, angerufene Nummer, Datum, Uhrzeit, Dauer des Gesprächs, IP-Adressen bei VoIP, ggf. Tonaufzeichnungen oder Chatprotokolle), eingebundene externe Daten (z. B. Daten aus Kundensystemen wie CRM), sowie Nutzungsdaten (Logfiles, Gesprächsverlauf, Fehlerprotokolle, Notizen). Voico kennt den konkreten Inhalt der Daten nicht im Voraus; der Kunde entscheidet, welche Datenkategorien in seinen Anwendungsfällen anfallen.
4.2 Betroffene Personen: Typischerweise Anrufer/Kommunikationspartner des Kunden (Kunden des Kunden, Interessenten, Endverbraucher, Mitarbeiter). Ggf. auch Dritte, über die im Gespräch gesprochen wird. Der Kunde bestätigt, dass die genannten Kategorien abschließend sind und keine Verarbeitung besonderer Datenkategorien beabsichtigt ist, außer ausdrücklich vereinbart. Sollte der Kunde dennoch besondere Kategorien verarbeiten lassen, stellt er sicher, dass eine geeignete Einwilligung oder gesetzliche Erlaubnis vorliegt.
5. Pflichten des Auftragsverarbeiters (Voico)
5.1 Weisungen: Voico verarbeitet personenbezogene Daten nur nach dokumentierten Weisungen des Kunden. Der Hauptvertrag und dieser AVV enthalten initiale Weisungen. Weitere Anweisungen (z. B. Löschung, Herausgabe bestimmter Daten) sind in Textform an support@voico.ai zu richten. Weisungen außerhalb des vereinbarten Rahmens können zu Mehrkosten führen. Erkennt Voico, dass eine Weisung gegen DSGVO verstößt, wird sie ausgesetzt, bis der Kunde diese bestätigt oder ändert.
5.2 Sicherheitsmaßnahmen: Voico verpflichtet sich zu allen nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM). Dazu zählen u. a. Zugangs-, Zutritts-, Zugriffskontrollen, Verschlüsselung, Backup, Protokollierung und logische Mandantentrennung. Sprachdaten und sensible Inhalte werden verschlüsselt übertragen und gespeichert. Voico weist ein Informationssicherheits-Management vor (ISO 27001).
5.3 Unterstützung des Verantwortlichen: Voico unterstützt den Kunden bei Pflichten nach Art. 32–36 DSGVO, insbesondere bei Datensicherheit, Meldung von Datenschutzverletzungen, Beantwortung von Betroffenenanfragen und Datenschutz-Folgenabschätzungen. Unterstützungsleistungen außerhalb der vertraglichen Leistungen können vergütet werden.
5.4 Vertraulichkeit: Alle Personen mit Datenzugriff sind zur Vertraulichkeit verpflichtet und geschult. Das Fernmeldegeheimnis nach TTDSG wird gewahrt.
5.5 Nachweis und Audit: Voico stellt dem Kunden Informationen zur Verfügung, die zum Nachweis der Einhaltung der AVV-Pflichten nötig sind (z. B. Zertifizierungen, Berichte, TOM). Der Kunde darf Audits durchführen, nach vorheriger Abstimmung (mind. 2 Wochen vorher). Alternativ kann Voico aktuelle Auditberichte bereitstellen. Kosten trägt der Kunde, außer bei schwerwiegenden Mängeln.
6. Pflichten des Verantwortlichen (Kunde)
Der Kunde bleibt verantwortlich für die Beurteilung der Zulässigkeit der Verarbeitung. Er holt erforderliche Einwilligungen ein, informiert Betroffene gemäß Art. 13 DSGVO, dokumentiert Weisungen, prüft regelmäßig die Einhaltung der TOM bei Voico und informiert Voico über Unregelmäßigkeiten.
7. Unterauftragsverhältnisse
Voico darf Subunternehmer einsetzen (z. B. Hetzner Online GmbH, Telekommunikations-Carrier, Microsoft Azure EU). Der Kunde wird vorab informiert und kann binnen 10 Tagen aus berechtigten Gründen widersprechen. Voico schließt mit Subunternehmern Verträge nach Art. 28 Abs. 4 DSGVO und haftet für deren Verstöße wie für eigene
8. Anfragen betroffener Personen
Voico unterstützt den Kunden bei der Erfüllung von Betroffenenrechten. Geht eine Anfrage direkt bei Voico ein, wird sie unverzüglich an den Kunden weitergeleitet, ohne eigenständige Bearbeitung.
9. Datenübermittlung in Drittländer
Die Verarbeitung erfolgt grundsätzlich in der EU/EWR. Übermittlungen in Drittstaaten finden nur statt, wenn dies durch Subunternehmer erforderlich ist (z. B. für Auslandstelefonie oder KI-Dienste). Voico stellt sicher, dass Standarddatenschutzklauseln (SCC) und ergänzende Schutzmaßnahmen bestehen.
10. Beendigung der Verarbeitung, Rückgabe und Löschung
Nach Vertragsende oder auf Wunsch des Kunden löscht oder gibt Voico sämtliche personenbezogenen Daten heraus. Dokumentationen, die dem Nachweis ordnungsgemäßer Verarbeitung dienen, können entsprechend gesetzlicher Aufbewahrungsfristen aufbewahrt werden.
11. Haftung und Schadensersatz
Die Haftungsregelungen des Hauptvertrags gelten auch für diesen AVV. Voico haftet für schuldhafte Pflichtverletzungen. Der Kunde stellt Voico intern von Ansprüchen Betroffener frei, soweit Voico kein Verschulden trifft.
12. Sonstiges
Mitteilungen zu Datenschutzangelegenheiten erfolgen über die benannten Ansprechpersonen. Änderungen dieses AVV bedürfen der Schriftform. Im Konfliktfall gehen die Bestimmungen dieses AVV den Hauptvertragsregelungen vor. Es gilt das im Hauptvertrag vereinbarte Recht und der dort bestimmte Gerichtsstand, soweit nicht zwingende datenschutzrechtliche Vorschriften entgegenstehen.
Auftragsverarbeitungsvertrag (AVV)
(im Sinne von Art. 28 DSGVO zwischen dem Kunden als Verantwortlichem und Voico als Auftragsverarbeiter)
1. Anwendungsbereich und Rollenverteilung
1.1 Beziehung der Parteien: Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien bei Verarbeitung personenbezogener Daten im Auftrag. Er findet Anwendung auf alle Verarbeitungen, bei denen Voico personenbezogene Daten im Auftrag des Kunden (als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO) verarbeitet. Das ist insbesondere der Fall für alle Endkundendaten, Gesprächsinhalte, Verkehrs- und Inhaltsdaten, die bei Nutzung der Voico-Dienste durch den Kunden anfallen (siehe Datenschutzerklärung Plattform). Voico handelt insoweit als Auftragsverarbeiter gemäß Art. 4 Nr. 8, Art. 28 DSGVO.
1.2 Geltung der Hauptvereinbarung: Die Bestimmungen dieses AVV gehen im Zweifel den Regelungen des Hauptvertrags (AGB/Nutzungsvertrag) vor, soweit es um Datenschutzverarbeitungen geht. Im Übrigen bleiben die Hauptvertragsregelungen unberührt.
1.3 Weisungsgebundenheit: Voico verarbeitet die personenbezogenen Daten ausschließlich im Rahmen der schriftlich dokumentierten Weisungen des Kunden (im Vertrag, diesem AVV und etwaigen nachträglichen Anweisungen festgelegt). Der Kunde bestätigt hiermit, dass er befugt ist, Voico mit der Verarbeitung zu beauftragen und die erforderlichen Rechtsgrundlagen hierfür vorliegen.
2. Gegenstand und Dauer der Verarbeitung
2.1 Gegenstand: Der Gegenstand der Auftragsverarbeitung ergibt sich aus dem Hauptvertrag. Wesentlich ist die Bereitstellung einer KI-Voicebot-Plattform, inkl. Telefonie-Integration, worüber der Kunde Daten seiner Anrufer/Kunden verarbeiten lässt.
2.2 Dauer: Dieser AVV gilt für die Dauer des Hauptvertrags über die Nutzung der Voico-Dienste. Er endet automatisch mit Beendigung des Nutzungsvertrags, soweit nicht gesetzliche Nachwirkungspflichten bestehen.
3. Art und Zweck der Verarbeitung
3.1 Art der Verarbeitung: Erheben, Speichern, Auslesen, Verwenden, Auswerten (via KI-Analyse), Übermitteln und Löschen von Daten – jeweils automatisiert in IT-Systemen. Auch die Übermittlung an vom Kunden bestimmte Empfänger (z. B. per Integration) kann dazugehören.
3.2 Zweck: Die Verarbeitung erfolgt ausschließlich, um dem Kunden die Nutzung der Voico-Dienste zu ermöglichen, insbesondere um Telefonanrufe automatisiert entgegenzunehmen und zu bearbeiten, Dialoge mittels KI zu führen, sowie um entsprechende Verbindungsdaten dem Kunden bereitzustellen. Eine Verarbeitung zu anderen Zwecken findet nicht statt. Voico wird Daten nicht für eigene Zwecke verarbeiten, insbesondere keine Profile zu eigenen Zwecken erstellen oder Daten an Dritte verkaufen.
4. Art der personenbezogenen Daten und Kategorien betroffener Personen
4.1 Datenarten: Folgende Kategorien personenbezogener Daten können im Rahmen der Auftragsverarbeitung umfasst sein (je nach Nutzung durch den Kunden): Stammdaten der Endkunden/Anrufer (z. B. Name, Telefonnummer, Kundennummer, Vertrags- oder Kontoinformationen), Kommunikationsdaten (Inhalt der Telefongespräche und daraus abgeleitete Text-Transkriptionen; Anliegen und vom Anrufer mitgeteilte Informationen, ggf. auch sensible Daten, falls solche im Gespräch geäußert werden), Verkehrsdaten (Rufnummer, angerufene Nummer, Datum, Uhrzeit, Dauer des Gesprächs, IP-Adressen bei VoIP, ggf. Tonaufzeichnungen oder Chatprotokolle), eingebundene externe Daten (z. B. Daten aus Kundensystemen wie CRM), sowie Nutzungsdaten (Logfiles, Gesprächsverlauf, Fehlerprotokolle, Notizen). Voico kennt den konkreten Inhalt der Daten nicht im Voraus; der Kunde entscheidet, welche Datenkategorien in seinen Anwendungsfällen anfallen.
4.2 Betroffene Personen: Typischerweise Anrufer/Kommunikationspartner des Kunden (Kunden des Kunden, Interessenten, Endverbraucher, Mitarbeiter). Ggf. auch Dritte, über die im Gespräch gesprochen wird. Der Kunde bestätigt, dass die genannten Kategorien abschließend sind und keine Verarbeitung besonderer Datenkategorien beabsichtigt ist, außer ausdrücklich vereinbart. Sollte der Kunde dennoch besondere Kategorien verarbeiten lassen, stellt er sicher, dass eine geeignete Einwilligung oder gesetzliche Erlaubnis vorliegt.
5. Pflichten des Auftragsverarbeiters (Voico)
5.1 Weisungen: Voico verarbeitet personenbezogene Daten nur nach dokumentierten Weisungen des Kunden. Der Hauptvertrag und dieser AVV enthalten initiale Weisungen. Weitere Anweisungen (z. B. Löschung, Herausgabe bestimmter Daten) sind in Textform an support@voico.ai zu richten. Weisungen außerhalb des vereinbarten Rahmens können zu Mehrkosten führen. Erkennt Voico, dass eine Weisung gegen DSGVO verstößt, wird sie ausgesetzt, bis der Kunde diese bestätigt oder ändert.
5.2 Sicherheitsmaßnahmen: Voico verpflichtet sich zu allen nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM). Dazu zählen u. a. Zugangs-, Zutritts-, Zugriffskontrollen, Verschlüsselung, Backup, Protokollierung und logische Mandantentrennung. Sprachdaten und sensible Inhalte werden verschlüsselt übertragen und gespeichert. Voico weist ein Informationssicherheits-Management vor (ISO 27001).
5.3 Unterstützung des Verantwortlichen: Voico unterstützt den Kunden bei Pflichten nach Art. 32–36 DSGVO, insbesondere bei Datensicherheit, Meldung von Datenschutzverletzungen, Beantwortung von Betroffenenanfragen und Datenschutz-Folgenabschätzungen. Unterstützungsleistungen außerhalb der vertraglichen Leistungen können vergütet werden.
5.4 Vertraulichkeit: Alle Personen mit Datenzugriff sind zur Vertraulichkeit verpflichtet und geschult. Das Fernmeldegeheimnis nach TTDSG wird gewahrt.
5.5 Nachweis und Audit: Voico stellt dem Kunden Informationen zur Verfügung, die zum Nachweis der Einhaltung der AVV-Pflichten nötig sind (z. B. Zertifizierungen, Berichte, TOM). Der Kunde darf Audits durchführen, nach vorheriger Abstimmung (mind. 2 Wochen vorher). Alternativ kann Voico aktuelle Auditberichte bereitstellen. Kosten trägt der Kunde, außer bei schwerwiegenden Mängeln.
6. Pflichten des Verantwortlichen (Kunde)
Der Kunde bleibt verantwortlich für die Beurteilung der Zulässigkeit der Verarbeitung. Er holt erforderliche Einwilligungen ein, informiert Betroffene gemäß Art. 13 DSGVO, dokumentiert Weisungen, prüft regelmäßig die Einhaltung der TOM bei Voico und informiert Voico über Unregelmäßigkeiten.
7. Unterauftragsverhältnisse
Voico darf Subunternehmer einsetzen (z. B. Hetzner Online GmbH, Telekommunikations-Carrier, Microsoft Azure EU). Der Kunde wird vorab informiert und kann binnen 10 Tagen aus berechtigten Gründen widersprechen. Voico schließt mit Subunternehmern Verträge nach Art. 28 Abs. 4 DSGVO und haftet für deren Verstöße wie für eigene
8. Anfragen betroffener Personen
Voico unterstützt den Kunden bei der Erfüllung von Betroffenenrechten. Geht eine Anfrage direkt bei Voico ein, wird sie unverzüglich an den Kunden weitergeleitet, ohne eigenständige Bearbeitung.
9. Datenübermittlung in Drittländer
Die Verarbeitung erfolgt grundsätzlich in der EU/EWR. Übermittlungen in Drittstaaten finden nur statt, wenn dies durch Subunternehmer erforderlich ist (z. B. für Auslandstelefonie oder KI-Dienste). Voico stellt sicher, dass Standarddatenschutzklauseln (SCC) und ergänzende Schutzmaßnahmen bestehen.
10. Beendigung der Verarbeitung, Rückgabe und Löschung
Nach Vertragsende oder auf Wunsch des Kunden löscht oder gibt Voico sämtliche personenbezogenen Daten heraus. Dokumentationen, die dem Nachweis ordnungsgemäßer Verarbeitung dienen, können entsprechend gesetzlicher Aufbewahrungsfristen aufbewahrt werden.
11. Haftung und Schadensersatz
Die Haftungsregelungen des Hauptvertrags gelten auch für diesen AVV. Voico haftet für schuldhafte Pflichtverletzungen. Der Kunde stellt Voico intern von Ansprüchen Betroffener frei, soweit Voico kein Verschulden trifft.
12. Sonstiges
Mitteilungen zu Datenschutzangelegenheiten erfolgen über die benannten Ansprechpersonen. Änderungen dieses AVV bedürfen der Schriftform. Im Konfliktfall gehen die Bestimmungen dieses AVV den Hauptvertragsregelungen vor. Es gilt das im Hauptvertrag vereinbarte Recht und der dort bestimmte Gerichtsstand, soweit nicht zwingende datenschutzrechtliche Vorschriften entgegenstehen.
Auftragsverarbeitungsvertrag (AVV)
(im Sinne von Art. 28 DSGVO zwischen dem Kunden als Verantwortlichem und Voico als Auftragsverarbeiter)
1. Anwendungsbereich und Rollenverteilung
1.1 Beziehung der Parteien: Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien bei Verarbeitung personenbezogener Daten im Auftrag. Er findet Anwendung auf alle Verarbeitungen, bei denen Voico personenbezogene Daten im Auftrag des Kunden (als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO) verarbeitet. Das ist insbesondere der Fall für alle Endkundendaten, Gesprächsinhalte, Verkehrs- und Inhaltsdaten, die bei Nutzung der Voico-Dienste durch den Kunden anfallen (siehe Datenschutzerklärung Plattform). Voico handelt insoweit als Auftragsverarbeiter gemäß Art. 4 Nr. 8, Art. 28 DSGVO.
1.2 Geltung der Hauptvereinbarung: Die Bestimmungen dieses AVV gehen im Zweifel den Regelungen des Hauptvertrags (AGB/Nutzungsvertrag) vor, soweit es um Datenschutzverarbeitungen geht. Im Übrigen bleiben die Hauptvertragsregelungen unberührt.
1.3 Weisungsgebundenheit: Voico verarbeitet die personenbezogenen Daten ausschließlich im Rahmen der schriftlich dokumentierten Weisungen des Kunden (im Vertrag, diesem AVV und etwaigen nachträglichen Anweisungen festgelegt). Der Kunde bestätigt hiermit, dass er befugt ist, Voico mit der Verarbeitung zu beauftragen und die erforderlichen Rechtsgrundlagen hierfür vorliegen.
2. Gegenstand und Dauer der Verarbeitung
2.1 Gegenstand: Der Gegenstand der Auftragsverarbeitung ergibt sich aus dem Hauptvertrag. Wesentlich ist die Bereitstellung einer KI-Voicebot-Plattform, inkl. Telefonie-Integration, worüber der Kunde Daten seiner Anrufer/Kunden verarbeiten lässt.
2.2 Dauer: Dieser AVV gilt für die Dauer des Hauptvertrags über die Nutzung der Voico-Dienste. Er endet automatisch mit Beendigung des Nutzungsvertrags, soweit nicht gesetzliche Nachwirkungspflichten bestehen.
3. Art und Zweck der Verarbeitung
3.1 Art der Verarbeitung: Erheben, Speichern, Auslesen, Verwenden, Auswerten (via KI-Analyse), Übermitteln und Löschen von Daten – jeweils automatisiert in IT-Systemen. Auch die Übermittlung an vom Kunden bestimmte Empfänger (z. B. per Integration) kann dazugehören.
3.2 Zweck: Die Verarbeitung erfolgt ausschließlich, um dem Kunden die Nutzung der Voico-Dienste zu ermöglichen, insbesondere um Telefonanrufe automatisiert entgegenzunehmen und zu bearbeiten, Dialoge mittels KI zu führen, sowie um entsprechende Verbindungsdaten dem Kunden bereitzustellen. Eine Verarbeitung zu anderen Zwecken findet nicht statt. Voico wird Daten nicht für eigene Zwecke verarbeiten, insbesondere keine Profile zu eigenen Zwecken erstellen oder Daten an Dritte verkaufen.
4. Art der personenbezogenen Daten und Kategorien betroffener Personen
4.1 Datenarten: Folgende Kategorien personenbezogener Daten können im Rahmen der Auftragsverarbeitung umfasst sein (je nach Nutzung durch den Kunden): Stammdaten der Endkunden/Anrufer (z. B. Name, Telefonnummer, Kundennummer, Vertrags- oder Kontoinformationen), Kommunikationsdaten (Inhalt der Telefongespräche und daraus abgeleitete Text-Transkriptionen; Anliegen und vom Anrufer mitgeteilte Informationen, ggf. auch sensible Daten, falls solche im Gespräch geäußert werden), Verkehrsdaten (Rufnummer, angerufene Nummer, Datum, Uhrzeit, Dauer des Gesprächs, IP-Adressen bei VoIP, ggf. Tonaufzeichnungen oder Chatprotokolle), eingebundene externe Daten (z. B. Daten aus Kundensystemen wie CRM), sowie Nutzungsdaten (Logfiles, Gesprächsverlauf, Fehlerprotokolle, Notizen). Voico kennt den konkreten Inhalt der Daten nicht im Voraus; der Kunde entscheidet, welche Datenkategorien in seinen Anwendungsfällen anfallen.
4.2 Betroffene Personen: Typischerweise Anrufer/Kommunikationspartner des Kunden (Kunden des Kunden, Interessenten, Endverbraucher, Mitarbeiter). Ggf. auch Dritte, über die im Gespräch gesprochen wird. Der Kunde bestätigt, dass die genannten Kategorien abschließend sind und keine Verarbeitung besonderer Datenkategorien beabsichtigt ist, außer ausdrücklich vereinbart. Sollte der Kunde dennoch besondere Kategorien verarbeiten lassen, stellt er sicher, dass eine geeignete Einwilligung oder gesetzliche Erlaubnis vorliegt.
5. Pflichten des Auftragsverarbeiters (Voico)
5.1 Weisungen: Voico verarbeitet personenbezogene Daten nur nach dokumentierten Weisungen des Kunden. Der Hauptvertrag und dieser AVV enthalten initiale Weisungen. Weitere Anweisungen (z. B. Löschung, Herausgabe bestimmter Daten) sind in Textform an support@voico.ai zu richten. Weisungen außerhalb des vereinbarten Rahmens können zu Mehrkosten führen. Erkennt Voico, dass eine Weisung gegen DSGVO verstößt, wird sie ausgesetzt, bis der Kunde diese bestätigt oder ändert.
5.2 Sicherheitsmaßnahmen: Voico verpflichtet sich zu allen nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM). Dazu zählen u. a. Zugangs-, Zutritts-, Zugriffskontrollen, Verschlüsselung, Backup, Protokollierung und logische Mandantentrennung. Sprachdaten und sensible Inhalte werden verschlüsselt übertragen und gespeichert. Voico weist ein Informationssicherheits-Management vor (ISO 27001).
5.3 Unterstützung des Verantwortlichen: Voico unterstützt den Kunden bei Pflichten nach Art. 32–36 DSGVO, insbesondere bei Datensicherheit, Meldung von Datenschutzverletzungen, Beantwortung von Betroffenenanfragen und Datenschutz-Folgenabschätzungen. Unterstützungsleistungen außerhalb der vertraglichen Leistungen können vergütet werden.
5.4 Vertraulichkeit: Alle Personen mit Datenzugriff sind zur Vertraulichkeit verpflichtet und geschult. Das Fernmeldegeheimnis nach TTDSG wird gewahrt.
5.5 Nachweis und Audit: Voico stellt dem Kunden Informationen zur Verfügung, die zum Nachweis der Einhaltung der AVV-Pflichten nötig sind (z. B. Zertifizierungen, Berichte, TOM). Der Kunde darf Audits durchführen, nach vorheriger Abstimmung (mind. 2 Wochen vorher). Alternativ kann Voico aktuelle Auditberichte bereitstellen. Kosten trägt der Kunde, außer bei schwerwiegenden Mängeln.
6. Pflichten des Verantwortlichen (Kunde)
Der Kunde bleibt verantwortlich für die Beurteilung der Zulässigkeit der Verarbeitung. Er holt erforderliche Einwilligungen ein, informiert Betroffene gemäß Art. 13 DSGVO, dokumentiert Weisungen, prüft regelmäßig die Einhaltung der TOM bei Voico und informiert Voico über Unregelmäßigkeiten.
7. Unterauftragsverhältnisse
Voico darf Subunternehmer einsetzen (z. B. Hetzner Online GmbH, Telekommunikations-Carrier, Microsoft Azure EU). Der Kunde wird vorab informiert und kann binnen 10 Tagen aus berechtigten Gründen widersprechen. Voico schließt mit Subunternehmern Verträge nach Art. 28 Abs. 4 DSGVO und haftet für deren Verstöße wie für eigene
8. Anfragen betroffener Personen
Voico unterstützt den Kunden bei der Erfüllung von Betroffenenrechten. Geht eine Anfrage direkt bei Voico ein, wird sie unverzüglich an den Kunden weitergeleitet, ohne eigenständige Bearbeitung.
9. Datenübermittlung in Drittländer
Die Verarbeitung erfolgt grundsätzlich in der EU/EWR. Übermittlungen in Drittstaaten finden nur statt, wenn dies durch Subunternehmer erforderlich ist (z. B. für Auslandstelefonie oder KI-Dienste). Voico stellt sicher, dass Standarddatenschutzklauseln (SCC) und ergänzende Schutzmaßnahmen bestehen.
10. Beendigung der Verarbeitung, Rückgabe und Löschung
Nach Vertragsende oder auf Wunsch des Kunden löscht oder gibt Voico sämtliche personenbezogenen Daten heraus. Dokumentationen, die dem Nachweis ordnungsgemäßer Verarbeitung dienen, können entsprechend gesetzlicher Aufbewahrungsfristen aufbewahrt werden.
11. Haftung und Schadensersatz
Die Haftungsregelungen des Hauptvertrags gelten auch für diesen AVV. Voico haftet für schuldhafte Pflichtverletzungen. Der Kunde stellt Voico intern von Ansprüchen Betroffener frei, soweit Voico kein Verschulden trifft.
12. Sonstiges
Mitteilungen zu Datenschutzangelegenheiten erfolgen über die benannten Ansprechpersonen. Änderungen dieses AVV bedürfen der Schriftform. Im Konfliktfall gehen die Bestimmungen dieses AVV den Hauptvertragsregelungen vor. Es gilt das im Hauptvertrag vereinbarte Recht und der dort bestimmte Gerichtsstand, soweit nicht zwingende datenschutzrechtliche Vorschriften entgegenstehen.
